Japan-Katastrophe & Android-Market im Fokus der Cyberkriminellen

Die mit Hilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Während im März die ganze Welt mit Bangen auf die Ereignisse und Entwicklungen in Japan und vor allem das beschädigte Atomkraftwerk Fukushima 1 blickte, missbrauchten Cyberkriminelle die Katastrophe für ihre Zwecke. Sie versendeten Katastrophennachrichten mit schädlichen Links, richteten infizierte Webseiten über die Katastrophe ein und verschickten „nigerianische“ E-Mails, in denen zu dubiosen Spenden aufgerufen wurde.

So wurden beispielsweise E-Mails mit angeblichen Links zu den neuesten Entwicklungen in Japan verschickt, bei denen nach dem Anklicken des Links ein Drive-by-Download mit Hilfe eines Exploit-Packs gestartet wurde. War der Angriff erfolgreich, wurde der Schädling Trojan-Downloader.Win32.CodecPack geladen. Jedem Vertreter dieser Familie sind drei Steuerungszentralen zugeteilt, mit denen er Verbindung aufnimmt. Außerdem erhält er von ihnen eine Liste schädlicher Dateien, die auf den Computer geladen und anschließend gestartet werden. Kaspersky-Experten entdeckten weiterhin eine schädliche Webseite, auf der der Download eines Videos zu den Japan-Ereignissen angeboten wurde. Doch statt eines Films wurde eine Backdoor heruntergeladen.

Im März verbreiteten Cyberkriminelle Android-Schädlinge, indem sie diese als legale Apps für den offiziellen Android-Market tarnten. Anfang März entdeckten IT-Sicherheitsexperten im Android-Market 21 infizierte Versionen legaler Anwendungen, die über 50.000 mal heruntergeladen wurden. Sie enthielten die Root-Exploits „rage against the cage“ und „exploid“, die dem Schadprogramm Root-Zugriff auf Android-Smartphones ermöglichen, wodurch der vollständige Zugriff auf das Gerät-Betriebssystem gewährleistet wird. Im schädlichen APK-Archiv befanden sich neben den Root-Exploits zwei weitere schädliche Komponenten. Eine von ihnen schickte nach Erhalt des Root-Rechts mit Hilfe der POST-Methode eine spezielle XML-Datei an einen entfernten Server, die die IMEI und IMSI des Telefons enthielt. Diese Datei verbreitete zudem weitere Informationen über das infizierte Gerät und nahm daraufhin Befehle vom Server entgegen. Ein anderer Schädling verfügte über die Funktionalität eines Trojan-Downloaders.

Die Hitliste der am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) im Internet:

Im März war die Zahl der Java-Exploits sehr hoch – sie machten etwa 14 Prozent aller entdeckten Exploits aus. In den Top 20 der Internetschadprogramme konnten sich drei Java-Exploits positionieren. Zwei davon – Exploit.Java.CVE-2010-0840.d (15. Platz) und Exploit.Java.CVE-2010-0840.c (19. Platz) – sind neue Exploits zur Java-Sicherheitslücke CVE-2010-0840. Die Entwickler der Schadsoftware nutzen diese Exploits aktiv aus, um sie im Rahmen der Drive-by-Downloads einzusetzen und so deren Entdeckung zu vermeiden.

Die zweite zeigt, mit welchen Schadprogrammen PCs am häufigsten infiziert wurden: